Přejít k obsahu | Přejít k hlavnímu menu | Přejít k vyhledávání

From Reports to Actions: Bridging the Customer Usability Gap in Penetration Testing

Varování

Publikace nespadá pod Ústav výpočetní techniky, ale pod Fakultu informatiky. Oficiální stránka publikace je na webu muni.cz.
Autoři

GALANSKÁ Katarína KRUŽÍKOVÁ Agáta MATYÁŠ Václav MARIA PIBILOTA Murumaa MIKE Just

Rok publikování 2025
Druh Článek v odborném periodiku
Časopis / Zdroj IEEE ACCESS
Fakulta / Pracoviště MU

Fakulta informatiky

Citace
www https://ieeexplore.ieee.org/document/9457015
Doi http://dx.doi.org/10.1109/ACCESS.2025.3561220
Klíčová slova penetration testing; security; advice; security report; usability
Popis Zprávy z penetračního testování hrají významnou roli v pomoci organizacím identifikovat a zmírňovat bezpečnostní zranitelnosti. Účinnost zprávy závisí na rozsahu, v jakém dokáží zákazníci převést zjištění do proveditelných rozhodnutí. Naše studie zkoumá mezery v použitelnosti zpráv z penetračního testování z pohledu zákazníka a zaměřuje se na výzvy, kterým organizace čelí při pochopení, prioritizaci a jednání na základě poskytnutých poznatků. V rámci studie jsme společně demonstrovali scénář penetračního testování IT profesionálům od technických až po manažerské úrovně. Poskytli jsme jim vybraný hlášený výskyt zranitelnosti ze scénáře. Prováděním průzkumů a fokusních skupin jsme se zaměřili na identifikaci společných nedostatků. Na základě dat od 25 účastníků fokusních skupin jsme provedli tematickou analýzu, v níž jsme identifikovali 8 témat s 29 zjištěními kategorizovanými jako možná vylepšení, nedostatky a obecné vnímání, přičemž jsme zdůraznili slabiny ve zprávách o penetračním testování. Výsledky zdůrazňují nutnost sladit obsah zprávy s potřebami konkrétních cílových skupin. Klíčová zjištění odhalují mezery v definování rozsahu, pravidel zapojení a metodologie před provedením penetračního testování, jakož i nedostatky v popisu zjištění v rámci zpráv. Náš výzkum dále zdůrazňuje důležitost začlenění pozitivních nálezů a vylepšení bezpečnostních doporučení tím, že se vyhneme obecným zmírňujícím opatřením, poskytneme více možností zmírňování rizik, posoudíme jejich dopad a v případě potřeby specifikujeme preferovaná řešení. Studie zkoumá, jak tyto nedostatky mohou ovlivnit rozhodovací procesy, úsilí o zmírňování rizik a celkové výsledky v oblasti kybernetické bezpečnosti. Zdůrazněním těchto problémů náš výzkum osvětluje potřebu lepší použitelnosti produktů penetračního testování, aby lépe sloužily potřebám zákazníků a zlepšily se výsledky v oblasti kybernetické bezpečnosti.
Související projekty:

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info